As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Apêndice B: Como os controles para presignados afetam URLs Serviços da AWS
<a name="appendix-b"></a>

Este apêndice descreve as interações entre Serviços da AWS esse uso preassinado URLs, conforme descrito no [Apêndice](appendix-a.md) A, e os controles descritos anteriormente neste guia.

## Guardrail para S3: SignatureAge
<a name="app-b-s3-signature-age"></a>

O console do Amazon S3 não é interrompido pela expiração máxima de 5 minutos definida pela chave de condição. `s3:signatureAge` O console Amazon S3 gera pré-assinados URLs quando você escolhe o botão **Download** e aplica seu próprio prazo de expiração de 5 minutos. Uma duração máxima menor que 2 minutos pode criar falhas aleatórias com base na sincronização do relógio e nas latências.

O Amazon S3 Object Lambda usa um tempo de expiração de 61 segundos, portanto, definir condições em um `s3:signatureAge` valor de 61 segundos ou mais não causará nenhuma interrupção. Durações mais curtas podem ser menos confiáveis e causar falhas intermitentes.

A região cruzada do Amazon S3 **CopyObject**não é interrompida por uma expiração máxima de 5 minutos. No entanto, durações mais curtas podem criar falhas aleatórias com base na sincronização do relógio e nas latências.

Em AWS Lambda, **GetFunction**fornece uma URL para objetos fora da conta do cliente, para que as políticas do cliente não afetem o gerado URLs.

O Amazon Redshift Spectrum foi testado com `s3:signatureAge` uma condição de 16 minutos. No entanto, durações mais curtas podem causar interrupções.

## Guardrail para s3:AuthType quando não estiver usando restrições de rede
<a name="app-b-s3-auth-type"></a>

O console do Amazon S3 geralmente é afetado pela grade de proteção. `s3:authType` O console é roteado para o Amazon S3 com base na configuração da rede local. Se a rede local for roteada para o Amazon S3 de uma forma que a restrição de rede permita, o console do Amazon S3 ainda funcionará. No entanto, se for roteado por meio de um proxy ou da Internet pública de uma forma não permitida, o uso será bloqueado. No entanto, bloquear o uso é provavelmente a intenção dessa política.

O Amazon S3 Object Lambda é afetado se a função Lambda não estiver conectada a uma VPC apropriada. Nessa configuração, a VPC deve ter um gateway NAT, não para acessar o bucket do S3, mas para fazer chamadas. **WriteGetObjectResponse**

**A região cruzada do Amazon S3 **CopyObject**é interrompida se essa grade de proteção for aplicada a uma política de bucket sem a exceção recomendada de quando for verdadeira. `aws:viaAWSService`**

O Amazon Redshift Spectrum é afetado pelo guardrail, a menos que `s3:authType` o roteamento de VPC aprimorado seja usado. Atualmente, o [Redshift Spectrum oferece suporte ao roteamento aprimorado de VPC somente com clusters sem servidor, não com clusters provisionados](https://docs.aws.amazon.com/redshift/latest/mgmt/spectrum-enhanced-vpc.html).